Beim Betrieb eines Netzwerks ist es für den Administrator sehr wichtig, den Überblick über Applikationen und den Verkehr im Netzwerk zu behalten. Die Firma Cisco Systems hat bereits im Jahre 1990 mit „Netflow“ ein äusserst mächtiges Werkzeug entwickelt, das bis heute den De-facto-Standard für Traffic-Accounting darstellt und von vielen Herstellern adaptiert wird.
Bei Netflow werden IP-Pakete, die gemeinsame IP-Adressen und Ports besitzen, zu einem sogenannten „Flow“ zusammengefasst. Ein Flow ist ein Datenfluss, der innerhalb einer Applikation zwischen zwei Rechnern anfällt. Diese Flows besitzen weitere Attribute wie beispielsweise die Übertragungsdauer oder die enthaltene Datenmenge. Diese Informationen werden üblicherweise von Routern im Netzwerk aufgezeichnet; es gibt jedoch mittlerweile auch Switches, die in der Lage sind, Netflow-Informationen aufzuzeichnen – wenn auch nicht bis ins letzte Detail. Um diese dezentral erfassten Daten historisch auswertbar aufzuzeichnen, kommen Netflow-Kollektoren zum Einsatz, die die von den Routern erzeugten Flow-Informationen sammeln und aufzeichnen. Netflow-Kollektoren haben oft tiefgehende Analyse- und Filtermechanismen, die es dem Administrator ermöglichen, volumetrische Analysen im Netz durchzuführen, akute und historische Probleme von Applikationen nachzuvollziehen, Netzwerk- und Serverkapazitäten zu überwachen oder gar Anomalien wie dDoS-Angriffe oder Vireninfektionen zu erkennen.
NBAR unterscheidet zwischen Applikationen
In der aktuellen Applikationswelt kann oft nicht mehr vom TCP/IP-Port auf eine Applikation geschlossen werden. Ein Großteil der Applikationen setzt auf einen HTTP/SSL-basierten Austausch von Daten, die dann nicht mehr allein über die TCP/UDP-Portinformation zu unterscheiden sind. Daher besitzen moderne Router – wie die in den NT/Connect-Produkten von NETHINKS eingesetzten ISR4000-Router von Cisco – entsprechende Analyse-Features, um Zugriffe auf Cloud-Dienste wie Office365 von Zugriffen auf Dienste wie Youtube unterscheiden zu können. Cisco setzt hier auf das „Network-Based-Application-Recognition“-Feature (aktuell „NBAR2“), das in der Lage ist, auf diese Weise weit über 1.000 Applikationen voneinander zu unterscheiden. Die rudimentären Netflow-Accounting-Daten können nun mit diesen deutlich spezifischeren Applikationsdaten angereichert werden, wodurch die Trafficanalyse am Kollektor deutlich aussagekräftiger und spezifischer wird.
Ihre Fragen zu technischen Details unserer Standortvernetzungs-Lösungen beantworten unsere freundlichen Mitarbeiter gerne persönlich. Sprechen Sie uns einfach an!
Bild: © Gorodenkoff – Fotolia.com
